Fuite de données pour l´Internaute et Copain d´Avant

Publié le 13-06-2011 à 15:34:25 dans le thème Réseau - Sécurité

Pays : France - Auteur : La rédaction

Pub : Découvrez les Labs ZATAZ

Note des lecteurs: 2.4/5

Mise à jour : L'équipe Technique de l'Internaute n'a pas tardé à réagir à notre alerte et a retrouvé l'un des courriers d'avertissement. Failles prises en compte et corrigées.

INFO ZATAZ - Une fuite de données permet d´accéder aux données des abonnés de l´internaute et du portail Copain d´Avant. 600 millions, voilà le nombre totale d'informations que ZATAZ.COM aurait pu collecter avec les HaideD de ces 6 premiers mois de l'année 2010 (l'addition des informations laissées en accès libre par des sites mal sécurisés, NDR). A noter que nous venons d'atteindre, en ce Lundi de Pentecôte, notre millième alerte depuis le 1e janvier 2011, soit une hausse de Haided de 37% par rapport à l'année dernière.

La millième alerte, via le protocole d'alerte ZATAZ.COM (que vous pouvez retrouver ICI, ainsi que sur iPhone et iPad) concerne le site Linternaute, et son pendant, Copain d'Avant. Plusieurs fuites d'informations ont été constatées, via un simple navigateur et l'url officiel du site. L'une des trois "failles" découverte pourrait permettre à un internaute malveillant de récupérer tous les comptes créés sur le site ainsi que les mots de passe associés. "J'ai découvert cette faille très simplement, confirme à ZATAZ.COM, un membre de linternaute, J'ai averti deux fois le site de linternaute via leur formulaire de contact mais aucune correction de la faille n'a été faite ; aucun retour ne m'a été fait."

ZATAZ.COM peut confirmer cette fuite d'information. Elle concerne, par rebond, le site Copain d'Avant, filiale de linternaute. Le plus inquiétant est qu'il ne sert à rien de modifier votre mot de passe pour espérer ne pas être piégé par un potentiel pirate.

Les responsables du site ont été contactés par le protocole d'alerte de ZATAZ.COM [HaideD 1000]. Esperons une correction rapide !

Fuite et loi !

En matière de failles de sécurités, nombre de pays dans le monde ont fait le choix de la transparence et de faire en sorte que les entreprises déclarent leurs pertes de données. Ce concept de « Data Breach Notification » venu des États-Unis et dont se sont inspirés à divers degrés le Royaume-Uni, l’Allemagne, mais aussi l’Autriche, la Lituanie, l’Estonie et la République Tchèque, intéresse autant qu’il inquiète. En France, pour le moment, le projet de loi publié le 23 mars 2010 à l’instigation d’Anne-Marie Escoffier et de Yves Détraigne, a ouvert la porte à une éventuelle obligation légale de notification à la Cnil des failles de sécurité (cf. l'article 7, visant à renforcer l'article 34 de la loi informatique et libertés). Si elle venait à se confirmer, cette éventuelle obligation que nous avons baptisé "Amendement ZATAZ" transposerait par anticipation la directive européenne 2002/58/CE concernant la vie privée dans le secteur des communications électroniques.

Sur le papier, ce genre de fuite peut coûter cher au fautif. La loi informatique et liberté (CNIL) punit ce type de fuite d'information nominative de sanctions pouvant atteindre 5 ans d'emprisonnement et 300 000 € d'amende (art. 226-17 du code pénal). La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de 100 000 € d’amende. (art. 226-22 du code pénal). (d0ne91)